Como denunciar um crime cibernético no Brasil: guia completo, passo a passo

Passo a passo — o que fazer

1. 1

   1. Não apague nada

   Antes de qualquer ação, resista ao impulso de excluir mensagens, e-mails ou publicações ofensivas. Cada registro digital pode ser uma prova essencial. Se possível, faça uma cópia completa da conversa ou perfil suspeito antes que o conteúdo seja removido.

2. 2

   2. Documente tudo com prints e metadados

   Tire capturas de tela completas mostrando a URL da página na barra do navegador, data e hora visíveis no sistema operacional, e o conteúdo da mensagem ou publicação. Salve os arquivos com data e hora no nome (ex.: 2025-06-28_print01.png). Guarde também e-mails de ameaça ou fraude no formato .eml, que preserva os cabeçalhos técnicos.

3. 3

   3. Anote dados do agressor e da plataforma

   Registre nome de usuário, URL do perfil, número de telefone, endereço de e-mail ou qualquer identificador do suspeito. Se houve transação financeira, anote agência, conta, CNPJ ou CPF do beneficiário e o comprovante de PIX ou TED.

4. 4

   4. Denuncie à plataforma onde o crime ocorreu

   Use o botão 'Denunciar' do WhatsApp, Instagram, Facebook, Telegram, X (Twitter) ou da loja de aplicativos. Plataformas são obrigadas pelo Marco Civil da Internet (Lei 12.965/2014) a guardar registros de acesso por 6 meses e registros de aplicação por 6 meses mediante ordem judicial. A denúncia interna agiliza a remoção do conteúdo e preserva os logs.

5. 5

   5. Registre o Boletim de Ocorrência

   A maioria dos estados permite B.O. online pela Delegacia Eletrônica estadual (ex.: www.delegaciaeletronica.policiacivil.sp.gov.br em SP; www.delegaciaonline.rj.gov.br no RJ; delegaciadigital.rs.gov.br no RS). Para crimes mais graves ou quando precisar de perícia no dispositivo, vá presencialmente a uma Delegacia de Crimes Cibernéticos. O B.O. é o documento-chave para qualquer medida judicial posterior.

6. 6

   6. Acione a SaferNet para conteúdo ilegal

   Se o crime envolve imagens de abuso sexual infantil, conteúdo de ódio, neonazismo ou discurso de violência online, denuncie em www.safernet.org.br/denunciar. A SaferNet é uma ONG conveniada ao Ministério Público Federal e à Polícia Federal; a denúncia é anônima e encaminhada às autoridades competentes.

7. 7

   7. Notifique o Ministério Público (MP) se necessário

   Crimes com vítimas múltiplas, difusão de desinformação prejudicial ou violação de direitos de grupos vulneráveis podem ser levados ao Ministério Público Estadual ou Federal. O MP pode abrir inquérito civil independentemente da polícia. Acesse o portal do MP do seu estado ou o MPF em www.mpf.mp.br para orientações de como protocolar uma notícia de fato.

8. 8

   8. Busque apoio jurídico se houver prejuízo financeiro

   Estelionato digital (art. 171, §2-A do Código Penal, incluído pela Lei 14.155/2021) e extorsão (art. 158) são crimes com pena de reclusão. Com o B.O. em mãos, um advogado pode ingressar com ação civil para ressarcimento ou requerer medidas cautelares, como bloqueio de contas bancárias do suspeito via ordem judicial.

Delegacias especializadas em crimes cibernéticos por estado

O Brasil conta com unidades policiais dedicadas a crimes digitais em praticamente todos os estados. Elas possuem peritos em informática forense e podem solicitar quebra de sigilo telemático junto ao Poder Judiciário, o que não é possível em delegacias comuns.

São Paulo (SP): Delegacia de Crimes contra a Informática — DCCI (Central: Av. Ipiranga, 1075, São Paulo). A Delegacia Eletrônica SP aceita B.O. online em www.delegaciaeletronica.policiacivil.sp.gov.br para crimes digitais sem violência. Rio de Janeiro (RJ): Divisão de Repressão a Crimes Cibernéticos — DRCC (PCERJ), com B.O. online em www.delegaciaonline.rj.gov.br. Minas Gerais (MG): Setor de Investigação de Crimes Cibernéticos (SICC) da PCMG, integrado às DIPs regionais. Rio Grande do Sul (RS): Delegacia de Repressão aos Crimes Informáticos — DRCI, B.O. digital em delegaciadigital.rs.gov.br. Paraná (PR): Delegacia de Crimes Cibernéticos de Curitiba (NUCIBER/PCPR). Bahia (BA): Delegacia Especializada em Atendimento à Mulher e Crimes Cibernéticos (DEAM-CC) e DRCI em Salvador. Distrito Federal (DF): Delegacia Especial de Repressão aos Crimes Cibernéticos — DERCC (PCDF). Ceará (CE): Delegacia de Repressão aos Crimes Cibernéticos (DRCC/PCCE) em Fortaleza.

Se o seu estado não possui delegacia especializada, registre B.O. na delegacia de polícia civil mais próxima — qualquer delegacia é competente para receber a ocorrência. Depois solicite que o inquérito seja remetido à unidade especializada ou à Polícia Federal, caso o crime tenha caráter federal (como fraudes em bancos federais ou crimes contra a infraestrutura crítica nacional).

A Polícia Federal (PF) tem competência exclusiva para crimes cibernéticos que atravessam fronteiras internacionais, ataques a sistemas da União, crimes contra a administração pública federal e produção e distribuição de material de abuso sexual infantil (MASI). Acesse www.gov.br/pf/pt-br para canais de denúncia da PF.

Como preservar provas digitais corretamente

A cadeia de custódia das provas digitais é o fator que diferencia um processo bem-sucedido de uma investigação frustrada. Mesmo sem ser técnico, você pode adotar medidas simples que aumentam muito o valor probatório das evidências.

Capturas de tela: tire prints de toda a conversa, incluindo o cabeçalho com nome e foto do perfil, a URL ou número de telefone e a data/hora do sistema. No Windows, use Ctrl+Shift+S (Recorte) ou a Ferramenta de Recorte; no iPhone, botão lateral + volume; no Android, botão power + volume menor. Nomeie os arquivos com data e sequência.

E-mails: nunca imprima — exporte no formato .eml ou .msg, que preserva cabeçalhos técnicos com IP de origem, servidor de envio e horário UTC. No Gmail, acesse os três pontinhos e escolha 'Mostrar original'; no Outlook, vá em Arquivo > Propriedades.

Páginas web: use a extensão 'SingleFile' (navegadores Chromium e Firefox) para salvar a página inteira, incluindo JavaScript renderizado, em um único arquivo .html com hash verificável. Alternativamente, solicite ao cartório mais próximo um 'ata notarial eletrônica', que tem fé pública e valor probatório elevado em juízo.

Transações financeiras: guarde o comprovante de PIX ou TED com o número de identificação da transação (ID end-to-end no PIX, que começa com 'E'). Esse ID permite que a polícia ou o Banco Central rastreie o destinatário mesmo que a conta já tenha sido encerrada.

Armazenamento seguro: salve todas as provas em mais de um local — nuvem pessoal (Drive, iCloud, OneDrive) e mídia física (pendrive). Não envie arquivos por aplicativos de mensagem antes de fazer essa cópia, pois a compressão automática pode apagar metadados.

O que esperar após registrar o Boletim de Ocorrência

Registrar o B.O. é o início do processo, não o fim. Entender o fluxo ajuda a ter expectativas realistas e a colaborar ativamente com a investigação.

Após o registro, o delegado decide se instaura ou não um inquérito policial. Em crimes de menor potencial ofensivo (pena máxima até 2 anos), a investigação pode ser encaminhada aos Juizados Especiais Criminais (JECrim), onde há mediação entre vítima e autor identificado. Em crimes mais graves, abre-se inquérito e a polícia pode solicitar ao juiz: quebra de sigilo de dados telemáticos (logs das plataformas), afastamento de sigilo bancário, mandado de busca e apreensão de dispositivos e interceptação telemática.

O prazo legal para conclusão do inquérito é de 30 dias (preso) ou 90 dias (solto), prorrogáveis. Na prática, crimes cibernéticos com agressor desconhecido podem levar meses ou anos — especialmente quando o suspeito usa VPN, servidores estrangeiros ou criptomoedas. Crimes que cruzam fronteiras dependem de cooperação jurídica internacional via MLAT (Mutual Legal Assistance Treaty), o que adiciona tempo considerável.

Você tem o direito de acompanhar o andamento do inquérito, seja pessoalmente na delegacia ou por meio de advogado com procuração. Se o inquérito for arquivado sem indiciar ninguém, o MP pode reabrir a investigação ou você pode contestar o arquivamento junto ao Procurador-Geral de Justiça.

Leis brasileiras que amparam as vítimas de crimes cibernéticos

O ordenamento jurídico brasileiro evoluiu significativamente na proteção de vítimas de crimes digitais na última década. Conhecer as leis ajuda você a nomear corretamente o crime ao registrar o B.O. e a entender as penas que o agressor pode receber.

Lei Carolina Dieckmann (Lei 12.737/2012): pioneira no combate a crimes digitais, tipificou a invasão de dispositivos informáticos (art. 154-A do CP) e a interrupção de serviços digitais. A pena é de detenção de 3 meses a 1 ano, aumentada se houver obtenção de conteúdo de comunicações eletrônicas, segredos comerciais ou industriais.

Marco Civil da Internet (Lei 12.965/2014): estabelece direitos e deveres de usuários e provedores. Obriga plataformas a guardar registros de conexão por 1 ano e registros de aplicação por 6 meses. Fundamento para obrigar plataformas a fornecer dados do agressor mediante ordem judicial.

Lei Geral de Proteção de Dados — LGPD (Lei 13.709/2018): se seus dados pessoais foram vazados por uma empresa sem adoção de medidas técnicas adequadas, ela pode responder perante a Autoridade Nacional de Proteção de Dados (ANPD) com multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração. Você pode registrar reclamação em www.gov.br/anpd.

Lei 14.155/2021: endureceu penas de estelionato e furto qualificados praticados por meio eletrônico. O estelionato digital (art. 171, §2-A) tem pena de 4 a 8 anos de reclusão — maior que o estelionato simples — e o furto mediante fraude eletrônica tem pena de 4 a 8 anos mais multa.

Lei 14.811/2024 (Combate ao Bullying e Cyberbullying): criminalizou a intimidação sistemática online com pena de 2 a 4 anos, podendo chegar a 6 anos se praticada contra menores ou com divulgação de conteúdo vexatório.

Empresas vítimas de crime cibernético: passos adicionais

Quando a vítima é uma empresa — de uma microempresa ao grande corporate — os procedimentos têm camadas extras: obrigações legais de notificação, necessidade de perícia forense para manter a cadeia de custódia e proteção da reputação junto a clientes e reguladores.

Boletim de Ocorrência empresarial: registre o B.O. em nome da pessoa jurídica, assinado pelo representante legal. Especifique o CNPJ, o sistema afetado, a data e hora do incidente e o prejuízo estimado. O B.O. é exigido por seguradoras para acionar apólices de cyber seguro.

Notificação à ANPD: se o incidente envolver vazamento de dados pessoais de clientes, colaboradores ou parceiros, a LGPD (art. 48) exige comunicação à ANPD e aos titulares afetados em prazo razoável — a ANPD orienta que seja feito em até 72 horas após a ciência do incidente. A omissão agrava as penalidades.

Perícia forense digital: antes de reinicializar servidores ou formatar dispositivos, uma empresa deve acionar um perito forense digital habilitado para criar imagens forenses dos sistemas afetados (processo bit a bit que preserva metadados e logs). Essa imagem é a base para qualquer ação judicial ou arbitral posterior. Reinicializar o sistema sem perícia equivale a apagar a cena do crime.

Cadeia de custódia corporativa: registre formalmente quem teve acesso aos sistemas afetados após o incidente, quais ações foram realizadas e quando. Esse log interno (chain of custody) é fundamental para demonstrar em juízo que as evidências não foram adulteradas.

A Decripte atende exclusivamente empresas — de 1 colaborador a mais de 100 mil — que precisam de resposta a incidentes e perícia forense com metodologia ABNT NBR ISO/IEC 27037. Se sua empresa sofreu um ataque, inicie pelo plano gratuito de Gestão de Ameaças para ter um diagnóstico imediato, ou conheça nossos planos completos de resposta a incidentes em decripte.io.

Termos importantes

Boletim de Ocorrência (B.O.)

Documento oficial registrado perante a autoridade policial que formaliza a comunicação de um fato com indícios de crime. No contexto digital, é o ponto de partida para qualquer investigação policial ou ação judicial. Pode ser feito online na delegacia eletrônica do estado ou presencialmente.

Cadeia de custódia

Conjunto de procedimentos que garantem a integridade e autenticidade de uma prova desde sua coleta até o julgamento. Em crimes cibernéticos, significa documentar quem coletou a prova, quando, como foi armazenada e quem teve acesso a ela, de modo que ninguém possa alegar que foi adulterada.

Perícia forense digital

Análise técnica conduzida por perito habilitado que examina dispositivos eletrônicos, servidores e logs para recuperar, preservar e documentar evidências digitais com validade jurídica. Diferente de uma simples cópia de arquivos, usa ferramentas especializadas (como FTK ou Autopsy) que criam imagens bit a bit e geram hash criptográfico para comprovar que a prova não foi alterada.

ANPD — Autoridade Nacional de Proteção de Dados

Órgão do governo federal brasileiro responsável por fiscalizar o cumprimento da LGPD. Recebe denúncias e reclamações de titulares de dados sobre uso indevido de informações pessoais por empresas públicas ou privadas, podendo aplicar multas de até 2% do faturamento anual, limitadas a R$ 50 milhões por infração.

Perguntas frequentes